GB∕T 20438.4-2017 电气∕电子∕可编程电子安全相关系统的功能安全 第4部分：定义和缩略语

ICS25.040代替GB/T20438.4—2006电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩略语(IEC61508-4:2010,IDT)GB/T20438.4—2017/IEC61508-4:2010 Ⅲ 1 3 33.1安全术语 4 6 83.4系统-安全相关 3.5安全功能和安全完整性 3.7生命周期活动 3.8安全措施的证实 索引 2 9图3电气/电子/可编程电子系统(E/E/PE系统)—结构和术语 9图4失效模型 3IⅢGB/T20438.4—2017/IEC61508-4:2010——第6部分：GB/T20438.2和GB/T20438.3的应用指南；本部分为GB/T20438的第4部分。本部分代替GB/T20438.4—2006《电气/电子/可编程电子安全相关系统的功能安全第4部分：本部分使用翻译法等同采用IEC61508-4:2010《电气/电子/可编程电子安全相关——GB/T20438.4—2006。VGB/T20438.4—2017/IEC61508-4:2010由电气和电子器件构成的系统，多年来在许多应用领域中执行其安全功能。以计算机为基础的系统(一般指可编程电子系统)在其应用领域中用于执行非安全功能，并且也越来越多地用于执行安全功能。如果要安全并有效地使用计算机技术，有关决策者在安全方面有充足的指导并据此做出决定是十分必要的。GB/T20438针对由电气和/或电子和/或可编程电子(E/E/PE)组件构成的、用来执行安全功能的系统安全生命周期的所有活动，提出了一个通用的方法。采用统一的方法的目的是为了针对所有以电为基础的安全相关系统提出一种一致的、合理的技术方针。主要目标是促进基于GB/T20438系列标准的产品和应用领域国家标准的制定。等)的系统来保证安全。因而必须考虑各类安全策略，不仅要考虑单个系统中的所有组件的问题(如传感器、控制器、执行器等),还要考虑不同安全相关系统组合后的问题。因此当GB/T20438在关注电术的安全相关系统也可被考虑进去。E/E/PE安全相关系统。对每个特定的应用，将根据特定应用的许多因素来确定所需的安全措施。GB/T20438作为基本原则可在未来的产品和应用领域国家标准制定和已有标准的修订中规范这些措施。GB/T20438——使涉及E/E/PE安全相关系统的产品和应用领域的国家标准得以制定；在GB/T20438的框——采用了一种可确定安全完整性要求的基于风险的方法；——引入安全完整性等级，用于规定E/E/PE安全相关系统所要执行的安全功能的目标安全完整 建立了E/E/PE安全相关系统执行安全功能的目标失效量，这些量都同安全完整性等级相 -建立了单一E/E/PE安全相关系统执行安全功能时，目标失效量的一个下限值。这些E/E/PE安全相关系统运行在：GB/T20438.4—2017/IEC61508-4:2010VlGB/T20438.4—2017/IEC61508-4:2010电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩略语1范围1.1GB/T20438的本部分包括了GB/T20438.1～GB/T20438.7所使用的术语和解释。1.2这些定义按标题分组，以便从它们的前后关系上去理解这些相关的术语。但这样的分组并不意味1.3GB/T20438.1、GB/T20438.2、GB/T20438.3和GB/T20438.用于简单的E/E/PE安全相关系统(见GB/T20438.4—2017的3.4.3),但作为基础安全标准，各技术委员会可以在IEC指南104和ISO/IEC指南51的指导下制定相关标准时使用。GB/T20438.1、GB/T20438.2、GB/T20438.3和GB/T20438.4也可作为独立标准来使用。GB/T20438的横向安全功能不适用于在IEC60601系列指导下的医疗设备。1.4各技术委员会的责任之一，是在其标准的起基础安全标准中的要求、测试方法或测试条件只有在这些技术委员会起草的标准中已明确引用或包含1.5图1表示了GB/T2过程中的作用。2GB/T20438.4—2017/IEC61508-4:2010第1部分编制整体安全要求(概念、范围、定7.1～7.5第1部分系统7.6第1部分7.10第2部分E/E/PE安全相段第3部分安全相关软件第1部分第1部分图1GB/T第5部分第6部分第2部分和第3部第7部分20438的整体框架第4部分第1部分第5章和附录A第1部分第1部分3GB/T20438.4—2017/IEC61508-4:20102规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文IECGuide104:1997安全出版物的编写及基础安全出版物和多专业共用安全出版物的应用导则(Thepreparationofsafetypublicationsandtheuseofbasicsafetypublicationsandgroupsafetypubli-cations)IEC/ISOGuide51:1999涉及安全的内容将安全内容纳入标准的指南(Safetyaspects—Guide-linesfortheirinclusioninstandards)表1给出了GB/T20438中使用的定义和缩略语。表1GB/T20438使用的缩略语缩略语术语的定义和/或解释ALARP合理可行的低GB/T20438.5—2017的附录CASIC专用集成电路3.2.15CCF共因失效3.6.10CPLD复杂可编程逻辑器件DC诊断覆盖率3.8.6(电)可擦写可编程逻辑器件E/E/PE电气/电子/可编程电子3.2.13,示例：E/E/PE安全相关系统E/E/PE(system)电气/电子/可编程电子系统3.3.2EEPROM电可擦写可编程只读存储器EPROM可擦写可编程只读存储器EUC受控设备3.2.1FPGA现场可编程门阵列GAL通用阵列逻辑HFT硬件故障裕度GB/T20438.2—2017的7.4.4MooNN取M通道架构(如loo2是2取1架构，两个通道中任一通道都可执行安全功能)GB/T20438.6—2017的附录BMooND带诊断的N取M通道架构GB/T20438.6—2017的附录BMTBF平均失效间隔时间3.6.19,注3MTTR平均恢复时间3.6.21MRT平均修理时间3.6.22PAL可编程阵列逻辑4GB/T20438.4—2017/IEC61508-4:2010表1(续)缩略语术语的定义和/或解释PE可编程电子3.2.12PEsystem可编程电子系统3.3.1PFD要求时危险失效概率3.6.17PFDavg要求时危险失效平均概率3.6.18PFH危险失效平均频率[h-¹]3.6.19PLA可编程逻辑阵列PLC可编程逻辑控制器GB/T20438.6—2017的附录EPLD可编程逻辑器件PLS可编程逻辑序列PML可编程宏逻辑RAM随机存储器ROM只读存储器SFF安全失效分数3.6.15SIL安全完整性等级3.5.8VHDL超高速集成电路硬件描述语言GB/T20438.2—2017的附录F,注53.1安全术语3.1.1[ISO/IEC导则51:1999,定义3.3]3.1.2[ISO/IEC导则51:1999,定义3.5]3.1.3[改写ISO/IEC导则51:1999,定义3.6]3.1.4可能导致伤害的事件。5GB/T20438.4—2017/IEC61508-4:20103.1.53.1.6[ISO/IEC导则51:1999,定义3.2]注：对这一概念更多的讨论见GB/T20438.5—2017附录A。3.1.7[ISO/IEC导则51:1999,定义3.7]3.1.8[ISO/IEC导则51:1999,定义3.9]3.1.9注2:GB/T20438.5—2017的图A.1说明了EUC风险。确定EUC风险的主要目的是在还未考虑E/E/PE安全相3.1.103.1.11[ISO/IEC导则51:1999,定义3.1]3.1.123.1.13达到安全时EUC的状态。6GB/T20438.4—2017/IEC61508-4:20103.1.14[ISO/IEC导则51:1999,定义3.14]3.2.13.2.23.2.3[ISO/IEC2382-1,01-01-40]3.2.43.2.5注1:软件独立于其记录媒体。注2:不包含注1的情况下，该定义与ISO/IEC2382-1不同之处在于增加了一个词“数据”。3.2.63.2.73.2.8按GB/T20438的要求开发的。7GB/T20438.4—2017/IEC61508-4:20103.2.9数据data注1:数据可能采用静态信息的形式(如设定点或地理信息表达的配置)或采用指令的形式来规定已有功能的顺序。注2:示例参看GB/T20438.7。3.2.10软件在线支持工具softwareon-linesupporttool能直接影响运行中的安全相关系统的软件工具。3.2.11软件离线支持工具softwareoff-linesupporttool支持软件开发生命周期某个阶段并且不能直接影响运行中的安全相关系统的软件工具。软件离线支持工具分成下面三类： 不产生直接或间接贡献于安全相关系统可执行代码(包括数据)的输出；工具。产生能够直接或间接贡献于安全相关系统可执行代码的输出。注3:T3的例子包括：当源代码程序与形成的目标代码之间的关系不明显时使用的优化编译器；将可执行的运行时软件包结合进可执行代码的编译器。3.2.12注：这个术语包括以一个或多个中央处理器(CPUs)及相关的存储器等为基础的微电子装置。——微处理器；——专用集成电路(ASICs); 可编程逻辑控制器(PLCs):3.2.13基于电气(E)和/或电子(E)和/或可编程电子(PE)的技术。注：本术语试图覆盖所有的在电原理下运行的装置或系统。——机电装置(电气);——固态非可编程电子装置(电子);——以计算机技术为基础的电子装置(可编程电子);见3.2.12。8GB/T20438.4—2017/IEC61508-4:20103.2.14有限可变语言limitedvariabilitylanguage制器的应用编程。3.2.15例2:预先设计的宏(被称为知识产权，即IP)是指例1中类似元件的各种变化，具有不同的由高级硬件描述语言(VHDL,Verilog)构成的设计数据。先布局或生成的宏是工艺专用的，但可能被移植到不同的技术。在大多数情况下，宏核不同于初始的分立的现成元件——基于单元的ASIC:以取自单元库的逻辑基本要素(如AND,OR,Flip-Flop,Latch)为基础的ASIC。包括逻辑基本要素和互联线的门级网表，通常是用综合工具从高级硬件描述语言中产生的。逻辑基本要素的功能和时的单元之间的连接矩阵(金属层)决定。设计过程近似于基于单元的ASIC,但布局的步骤由连接已存在的单元——现场可编程门阵列(FPGA):标准集成电路，使用一次性或可重复编程的元件来规定功能块之间的连接以及配提供可预测的时序和可保证的最高工作频率。典型的PLD有PAL,GAL,PML,(E)EPLD,PLA,PLS。——复杂可编程逻辑器件(CPLD):在一个芯片上有多个类似PLD块，由可编程的互连矩阵(crossbar)相连接。在3.3系统-通用3.3.1基于一个或多个可编程电子装置的控制、保护或监视系统，包括系统中所有的组件，如电源、传感器90000注：PES的结构如图2a)。图2b)是阐述GB/T20438中PES在EUC和其接口中具有不同于传感器、执行器的可编程电子单元的方式，但是，在PES中可编程电子可能存在于多处。图2c)表示具有两个分立的可编程电子单元的PES。图2d)表示具有双重可编程电子单元(即双通道)的PES,但共用一个传感器和一个执行器。O00PE1PE2PE1b)具有单个可编程电子装置的单个PESb)具有单个可编程电子装置的单个PES(即由一个单通道可编程电子装置构成的一个PES)可编程电子装置的单个共享传感器和最终元件的PES(如智能传感器和可编单个PES(即由两个可编程程控制器)电子通道构成的一个PES)装置的控制、保护或监视系统，包括系统中所有的组件，如电源、传感器和其他输入装置，数据总线和其他通信路径，以及执行器和其他输出装置(见图3)。D-A转换器0000注：E/E/PE装置是图示的中间部分，但这样的装置在E/E/PE系统中可能存在于多处GB/T20438.4—2017/IEC61508-4:20103.3.33.3.43.3.53.3.63.3.73.4系统-安全相关3.4.1以满足所要求的可容忍风险。见GB/T20438.5—2017的附录A。注2:安全相关系统能在检测到可导致危险事件的情况时采取适当的动作以防止EUC进入危险状态。安全相关系统的失效将包含于导致危险的事件中。尽管可能存在具备安全功能的其他系统，但所指定的安全相关系统可仅靠其自身能力达到要求的可容忍风险。安全相关系统一般被分为安全相关控制系统和安全相关保护注3:安全相关系统可以是EUC控制系统的组成部分，也可用传感器和/或执行器与EUC连接。即可通过EUCa)用于防止危险事件发生(即安全相关系统一旦执行其安全功能则避免伤害事件发生);c)同时具有a)和b)的功能组合。GB/T20438.4—2017/IEC61508-4:20103.4.23.4.3就是一个低复杂E/E/PE安全相关系统。3.4.43.4.5注1:一个组件可由硬件和/或软件构成。3.4.6[基于GB/T17215.911]注1:冗余主要用于提高可靠性(在给定时间范围内功能正确的概率)或可用性(在特定时间点具有功能的概率)。也可通过像20o3这样的架构来使误动作最小化。注2:此定义在IEV191-15-01中不完整。3.5.13.5.2GB/T20438.4—2017/IEC61508-4:20103.5.3由组件执行的安全功能的一部分(见3.5.1)。3.5.4安全完整性safetyintegrity注1:安全完整性越高，安全相关系统在要求注2:有4个安全完整性等级(见3.5.8)。注3:在确定安全完整性时，宜包括所有导致非安全状态的失效原因(随机硬件失效和系统性失效),如硬件失效、平均失效频率或安全相关保护系统未能在要求时动作的概率来量化，但是安全完整性还取决于许多不能精注4:安全完整性由硬件安全完整性(见3.5.7)和系统性安全完整性(见3.5.6)构成。注5:本定义针对安全相关系统执行安全功能的可靠性(见IEV191-12-01可靠性的定义)。3.5.5软件安全完整性softwaresafetyintegrity3.5.63.5.73.5.8安全完整性等级safetyintegritylevel;SIL一种离散的等级(四个可能等级之一),对应安全完整性量值的范围。安全完整性等级4是最高的，安全完整性等级1是最低的。注1:四个安全完整性等级对应的目标失效量(见3.5.17)在GB/T20438.1—2017的表2和表3中规定。注2:安全完整性等级用于规定分配给E/E/PE安全相关系统安全功能的安全完整性要求。确解释是系统具有支持安全功能的安全完整性等级达到n的潜在能力。3.5.9系统性能力systematiccapabili整性满足规定的SIL要求的置信度的度量(表示为SC1～SC4)。注1:系统性能力由用于避免和控制系统性故障的要求来确定(见GB/T20438.2和GB/T20438.3)。注2:相关的系统性失效机理取决于组件的特性。比如一个组件单独由软件构成，则只需考虑软件失效机理。如注3:当一个组件按组件符合项安全手册的规定应用时，针对规定的组件安全功能，组件具有SCN的系统性能力意味着SILN的系统性安全完整性已被满足。GB/T20438.4—2017/IEC61508-4:20103.5.10软件安全完整性等级softwaresafetyintegritylevel软件组件的系统性能力。该软件组件是安全相关系统的子系统的组成部分。3.5.11E/E/PE系统安全要求规范E/E/PEsystemsafetyrequirementsspecification包括安全功能及其安全完整性等级要求的规范。3.5.12E/E/PE系统安全功能要求规范E/E/PEsystemsafetyfunctionsrequirementsspecification包括安全相关系统必须要执行的安全功能要求的规范。注1:这个规范是E/E/PE系统安全要求规范(见GB/T20438.1—2017的7.10和7.10.2.6)的一部分(安全功能部3.5.13E/E/PE系统安全完整性要求规范E/E/PEsystemsafetyintegrityrequirementsspecification包括安全相关系统必须要执行的安全功能的安全完整性要求的规范。注：这个规范是E/E/PE系统安全要求规范(见GB/T20438.1—2017的7.10和7.10.2.7)的一部分(安全完整性部3.5.14E/E/PE系统设计要求规范E/E/PEsystemdesignrequirementsspecification3.5.15在安全相关系统中用于实现安全功能的软件。3.5.16运行模式modeofoperation——低要求模式：仅当要求时才执行将EUC导入规定安全状态的安全功能，并且要求的频率不大注：E/E/PE安全相关系统只在要求时才对EUC或EUC控制系统产生影响。如果E/E/PE安全相关系统不能执行安全功能，则可能使EUC进入安全状态(见GB/T20438.2—2017的7.4.6)。——高要求模式：将EUC导入规定安全状态的安全功能仅当要求时才执行，并且要求的频率大于3.5.17目标失效量targetfailuremeasure——危险失效的平均频率[h-1](对于高要求或连续运行模式);注：目标失效量的数值在GB/T20438.1—2017的表2和表3中给出。3.5.18L(i-1)FUL0FUL(i+1FULL(i-1)FUL0FUL(i+1FUL(i+1FUL(i+1)FUL(i+1)FUL(i+1)FUL(i+1)FUL(i+1)FUL(i+1)FUGB/T20438.4—2017/IEC61508-4:20103.6.1注：IEV191-05-01定义的“故障”是一种以无能力执行要求功能为特征的状态，不包括预防性维护或其他计划的行动期间的无能力或外部资源的缺少产生的无能力。两种观点的表示见图4。“E”状态失效原因失效“实体x”a)一个功能单元的配置层级()层级()“实体X”故障故障失效b)归纳的观点“实体X”c)来自GB/T20438和GB/T5271.14的观点d)来自IEC60050(191)的观点注1:如a)所示，可将功能单元看作一个由多层构成的层级结构，每一层都可依次叫做功能单元。在(i)层，“原因”可能是本层功能单元自身错误(偏离正确的值或状态),如不纠正或避免，则可能导致这一功能单元的失效，结果使其进入“F”状态，即不能执行要求的功能(见b)。(i)层功能单元的“F”状态可能依次表现为(i-1)层功能单元自身错误，如不纠正或避免，则可能导致这一(i—1)层功能单元的失效。注2:在这个因果链条中，同一件事(实体X)即可被看作这一层(i)进入“F”状态，结果是该层功能单元的失效，也可看作是(i-1)层功能单元失效的起因。这个(实体X)综合了GB/T20438和GB/T5271.14的“故障”的概念，这里强调其原因的概念，如图c)所示，同时也是GB/T2900.13中的“故障”,这里强调其自身状态的概念，如图d)所示。“F”状态在GB/T2900.13中被叫做故障，但在GB/T20438和GB/T5271.14中没有定义。注3:在某些情况下，失效或错误可由外部事件引起，如闪电或静电扰动，而不是由内部故障引起。同样，没有前期失效也可能存在故障(在两处术语中)。比如设计错误就是这种故障的一个例子。3.6.23.6.3GB/T20438.4—2017/IEC61508-4:20103.6.4注1:本术语基于IEV191-04-01,增加了由于软件或规范等的不足而导致的系统性失效。注2:图4为GB/T20438和GB/T2900.13中故障和失效的关系。注3:应该执行要求的功能以排除特定的行为，以及为要避免的行为注4:失效或是随机的(在硬件中)或是系统性的(在硬件或软件中),见3.6.5和3.6.6。3.6.5注2:随机硬件失效和系统性失效(见3.6.6)的主要区别是由随机硬件失效导致的系统失效率(或其他合适的度量)3.6.6注2:通过模拟失效原因可以引出系统失效。注3:系统性失效的原因可包括以下情况中的人为错误： 3.6.7a)在要求时阻止安全功能的执行(要求模式),或导致安全功能失效(连续模式)以致EUC进入3.6.83.6.9其概率不能表示为引起它的独立事件的无条件概率的简单乘积的失效。GB/T20438.4—2017/IEC61508-4:2010计算、观测和测量到的值或条件与真值、规定的或理论上正确的值或条件的差异。[修改IEV191-05-24]数据内容不正确的变化，但并未改变物理电路。注1:当软错误发生并且数据被重写，电路将恢复到初始状态。注2:软错误可能发生在存储器、数字逻辑、模拟电路中和传输线路上，主要发生在半导体存储器上，包括寄存器和锁存器。如从制造商处获得该数据。注3:软错误是瞬时的并且不宜与软件编程错误混淆。注：无关失效不用于SFF的计算。执行安全功能的某个组件失效但不直接影响安全功能。注1:按定义，无影响失效不影响安全功能，所以对安全功能的失效率没有贡献。注2:无影响失效不用于SFF的计算。如失效率是基于一个常数失效率，则公式简化为：SFF=(Zλs+Zλpa)/(Zλs+Zλpa+Zλpu)一个实体(单个元器件或系统)的可靠性参数(λ(t)),即λ(t)dt表示该实体在[0,t]之间未发生失效情况下，在[t,t+dt]内发生失效的概率。注1:数学上，λ(t)是每单位时间[t,t+dt]上失效的条件概率，其与可靠性函数(即0~t内未发生失效的概率)密切相关，可由公式表示a反之可由可靠性函数表示。注2:失效率及其不确定度可用传统的统计学由现场反馈数据估算，在使用寿命期间(即老化后至报废前)一个简单项的失效率几乎等于常量，λ(t)=λ。注3:在给定区间[0,T]内λ(t)的平均值,不是失效率，因为平均值不能用于计算注1中的R(t),但可解释为在这一期间失效的平均频率(即PFH,GB/T20438.6—2017的附录B)。注4:串联项的失效率是每一个项失效率的和。GB/T20438.4—2017/IEC61508-4:2010会很快的收敛于一个近似值λns,λm即相当于系统失效率。与注3所说的平均失效率不同，平均失效率不需3.6.17当EUC或EUC控制系统发出要求时，执行规定安全功能的E/E/PE安全相关系统的安全不可用性(见GB/T2900.13)。注1:[瞬时]不可用性(按照GB/T2900.13)是指一个项在要求的外部资源满足的情况下，在给定的时间点和给定注2:[瞬时]可用性与项在t时刻之前经历的状态(运行或失效)无关。它仅表示项在要求时一定能工作，例如在低要求模式下E/E/PE安全相关系统的工作。注3:如果实施周期性测试，就规定安全功能而言，E/E/PE安全相关系统的PFD是用一种锯齿形曲线表示，在一3.6.18E/E/PE安全相关系统在EUC或EUC控制系统发出要求时执行规定安全功能的平均不可用性注1:在一个给定时间间隔[t₁,t₂]内的平均不可用性用U[t₁,t₂]表示注2:两种失效会影响PFD和PFDw:自上次检验测试后发生的未检测到的危险失效和由要求(检验测试和安全求的数量相关并由每次要求失效的概率表示(用γ表示)。3.6.19一个E/E/PE安全相关系统在一个给定的时间周期内执行规定安全功能时的危险失效平均频率。“危险失效平均频率[h-1]”失效率混淆(见GB/T20438.6—2017的附录B)。注3:当E/E/PE安全相关系统是最终的安全层，PFH宜根据其不可靠性F(T)=1-R(t)计算(见上面的“失效下，PFH可近似等于F(T)/T和1/MTTF,在第二种情况下为1/MTBF。注4:当E/E/PE安全相关系统仅隐含有能够被快速修复的可揭露失效时，那么收敛的失它提供了一种对PFH的估算。3.6.20从EUC或EUC控制系统中引发潜在危险事件的失效发生，到为阻止在EUC中危险事件发生而必须采取的动作完成之间的时间间隔。3.6.21达到恢复的预期时间。——检测失效的时间(a);和 GB/T20438.4—2017/IEC61508-4:20103.6.223.7.1安全相关系统实现过程中所必需的活动，这些活动从项目的概念阶段开始，直至所有的E/E/PE安全相关系统和其他风险降低措施停止使用为止的时间周期。注2:本部分中使用的安全生命周期模型见GB/T20438.1—2017的图2、图3和图4。3.7.2软件生命周期softwarelifecycle从软件开始构思到软件永久退役期间的活动。3.7.3系统演变过程中其元件的标识规则，用以控制这些元件的变更并保持在生命周期全过程中的连续性和可追溯性。3.7.43.7.5确定一个系统中的一个功能或元件的改变将对该系统中其他功能或元件以及其他系统产生影响的活动。3.8.1验证verification通过检查和提供客观证据证实规定要求已经被满足。[修改ISO8402,定义2.7.4]GB/T20438.4—2017/IEC61508-4:2010 设计复审； 对设计的产品进行测试以保证按其规范工作；——对系统不同部分逐步组装并进行集成测试，并进行环境测试以保证所有部分按规定方式在一起工作。3.8.2[修改ISO8402,定义2.18]注1:在本部分中有3个确认阶段：——整体安全确认(见GB/T20438.1—2017的图2);——E/E/PE系统确认(见GB/T20438.1—2017的图3);——软件确认(见GB/T20438.1—2017图4)。注2:确认是证明所考虑的安全相关系统在安装前后全面满足该系统的安全要求规范的活动，比如软件确认意味着用提供客观证据和检查的方法来证明软件满足软件安全要求规范。3.8.3通过调查，依据证据来判断一个或多个E/E/PE安全相关系统和/或其他风险降低措施实现的功3.8.4注：功能安全审核可以作为功能安全评估的一部分。3.8.5注2:检验测试的有效性取决于失效覆盖和维修的有效性。在实践中除了低复杂E/E/PE安全相关系统外，100%的隐性失效的检测很难达到。这宜是目标。至少，所有要执行的安全功能，按E/E/PE安全相关系统安全要求规范进行检查。如果使用分离通道，则对每个通道分别进行检验测试。对于复杂的组件，可能需进行分析，以证明在E/E/PE安全相关系统整体生命周期期间，未被检验测试检测出的隐性危险失效概率可忽略不计。注3:检验测试需要一定时间完成。在此时间内E/E/PE安全相关系统可能被部分或全部限制。在测试过程中，仅当EUC已停机或E/E/PE安全相关系统仍能保持在要求时的动作能力，检验测试持续时间可忽略不计。注4:在检验测试期间，E/E/PE安全相关系统可能部分或全部不能响应动作要求。仅在维修时EUC已停机或使用其他等效的风险措施来代替时，MTTR对于SIL的计算可以忽略。3.8.6DCDC=Zλpp/ZλDotal注2:该定义仅在单个元件失效率为常数时适用。GB/T20438.4—2017/IEC61508-4:20103.8.73.8.8揭露出的revealed3.8.93.8.10注：见GB/T20438.1—2017的第8章。3.8.113.8.123.8.133.8.143.8.15用系统性的和受控的方式执行软件和/或操作硬件以证明所要求行为的存在以及非要求行为的不GB/T20438.4—2017/IEC61508-4:20103.8.16通过把测试用例应用于软件，模拟(达到某个可用的程度)开发中软件或硬件运行环境并记录其响3.8.17符合项安全手册safetymanualforcompliantitems所有信息的文档。3.8.18经使用证明proveninuse得每个使用该组件的安全功能达到其要求的安全完整性等级。GB/T20438.4—2017/IEC61508-4:2010[1]GB/T21109(所有部分)过程工业领域安全仪表系统的功能安全[2]GB28526—2012机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全[3]GB/T12668.502调速电气传动系统第5-2部分：安全要求功能[4]GB/T20438.5—2017电气/电子/可编程电子安全相关系统的功能安全第5部分：确定安全完整性等级的方法示例[5]GB/T20438.6—2017电气/电子/可编程电子安全相关系统的功能安全第6部分：GB/T20438.2和GB/T20438.3的应用指南[6]GB/T20438.7—2017电气/电子/可编程电子安全相关系统的功能安全第7部分：技术和措施概述[7]ISO/IEC2382-1:1993Informationtechnology—Vocabulary—Part1:Fundamentalterms[8]GB/T15969.3—2005可编程序控制器第3部分：编程语言[9]GB/T17215.911电测量设备可信性第11部分：一般概念[10]ISO8402:1994Qualitymanagementandqualityassurance—Vocabulary[11]IEC60601(allparts)Medicalelectricalequipment[12]GB/T2900.13—2008电工术语可信性与服务质量[13]GB/T2900.56—2008电工术语控制技术[14]GB/T20438.1—2017电气/电子/可编程电子安全相关系统的功能安全第1部分：一般要求[15]GB/T20438.2—2017电气/电子/可编程电子安全相关系统的功能安全第2部分：电气/电子/可编程电子安全相关系统的要求[16]GB/T20438.3—2017电气/电子/可编程电子安全相关系统的功能安全第3部分：软件[17]GB/T5271.14—2008信息技术词汇第14部分[18]GB/T19000—2008质量管理体系基础和术语GB/T20438.4—2017/IEC61508-4:2010汉语拼音索引AF安全…………3.1.11风险……………3.1.6安全功能………3.5.1符合项安全手册……………3.8.17安全生命周期…………………3.7.1G安全失效………3.6.8安全失效分数………………3.6.15功能安全………3.1.12安全完整性……3.5.4功能安全评估……………安全完整性等级………………3.5.8功能安全审核…………………3.8.4安全相关软件………………3.5.15功能单元………3.2.3安全相关系统…………………3.4.1共因失效……3.6.10安全状态………3.1.13故障……………3.6.1故障避免………3.6.2B故障裕度………3.6.3必要的风险降低……………3.5.18过程安全时间………………3.6.20不明显的………3.8.9HC合理可预见的误用…………3.1.14残余风险………3.1.8环境……………3.2.2JD架构……………3.3.4低复杂E/E/PE安全相关系统………………3.4.3检测到的………3.8.8电气/电子/可编程电子……3.2.13检验测试………3.8.5电气/电子/可编程电子系统…3.3.2揭露出的………3.8.8动画…………3.8.14经使用证明…………………3.8.18K独立部门……3.8.12独立人员……3.8.11可编程电子…………………3.2.12独立组织……3.8.13可编程电子系统………………3.3.1EE/E/PE系统安全完整性要求规范…………3.5.13目标风险……3.1.10E/E/PE系统安全要求规范…3.5.11目标失效量…………………3.5.17PEUC控制系统…………………3.3.3GB/T20438.4—2017/IEC61508-4:2010配置基线………3.7.4配置(组态)数据………………3.2.7偏差…………3.6.11评估方………3.8.10Q其他风险降低措施……………3.4.2确认……………3.8.2R软件……………3软件安全完整性等级………3.5.10软件离线支持工具…………3.2.11软件模块………3.3.5软件生命周期…………………3.7.2软件在线支持工具…………3.2.10S伤害……………3.1.1伤害事件………3.1.5失效……………3.6.4失效率………3.6.16受控设备………3.2.1数据……………3.2.9随机硬件失效…………………3.6.5TW未检测到的……3.8.9未揭露的………3.8.9危险事件………3.1.4危险失效………3.6.7危险状况………3.1.3无关失效……3.6.13无影响失效…………………3.6.14X系统软件………3.2.6系统性能力……3.5.9系统性失效……3.6.6显性的…………3.8.8Y验证……………3.8.1要求时危险失效概率………3.6.17要求时危险失效平均概率…3.6.18已有软件………3.2.8影响分析………3.7.5应用……………3.2.4应用软件………3.2.7应用数据………3.2.7有限可变语言………………3.2.14运行模式……3.5.16Z专用集成电路………………3.2.15子系统…………3.4.4组件……………3.4.5组件安全功能…………………3.5.3GB/T20438.4—2017/IEC61508-4:2010英文对应词索引Aanimation……………………3.8.14application……………………3.2.4applicationdata………………3.2.7applicationsoftware…………………………3.2.7applicationspecificintegratedcircuit………………………3.2.15architecture……………………3.3.4assessor………………………3.8.10averageprobabilityofdangerousfailureondemand……………………3.6.18Cchannel…………………………3.3.6commoncausefailure………………………3.6.10configurationbaseline…………………………3.7.4configurationdata……………3.2.7configurationmanagement……………………3.7.3covert…………………………3.8.9Ddangerousfailure……………3.6.7data……………………………3.2.9dependentfailure……………3.6.9detected………………………3.8.8diagnosticcoverage……………3.8.6diagnostictestinterval………………………3.8.7diversity………………………3.3.7dynamictesting………………3.8.15EE/E/PEsystemsafetyintegrityrequirementsspecification………………3.5.13E/E/PEsystemsafetyrequirementsspecification…………3.5.11electrical/electronic/programmableelectronic…………3.2.13electrical/electronic/programmableelectrelement………………………3.4.5elementsafetyfunction………………………3.5.3environment……………………3.2.2equipmentundercontrol……………………3.2.1error…………………………3.6.11EUCcontrolsystem…………………………3.3.3GB/T20438.4—2017/IEC61508-4:2010EUCrisk……………………………3.1.9Ffailure…………………3.6.4failurerate………………………3.6.16fault…………………3.6.1faultavoidance……………………3.6.2faulttolerance………………………3.6.3functionalsafety…………………3.1.12functionalsafetyassessment………………………3.8.3functionalsafetyaudit……………3.8.4functionalunit……………………3.2.3Hhardwaresafetyintegrity…………………………3.5.7harm…………………3.1.1harmfulevent………………………3.1.5hazard…………………3.1.2hazardousevent……………………3.1.4hazardoussituation…………………3.1.3Iimpactanalysis……………………3.7.5independentdepartment………………………3.8.12independentorganization………………………3.8.13independentperson………………3.8.11Llimitedvariabilitylanguage……………………3.2.14lowcomplexityE/E/PEsafety-relatedsystem…………………3.4.3Mmodeofoperation…………………3.5.16Nnecessaryriskreduction…………………………3.5.18noeffectfailure…………………3.6.14nopartfailure……………………3.6.130otherriskreductionmeasure………………………3.4.2overallsafetyfunction……………3.5.2overt…………………3.8.8GB/T20438.4—2017/IEC61508-4:2010Ppre-existingsoftware………………3.2.8probabilityofdangerousfailureondemand…………………3.6.17processsafetytime………………3.6.20programmableelectronicsystem/PEsystem……………………3.3.1programmableelectronic…………………………3.2.12prooftest……………………………3.8.5proveninuse………………………3.8.18Rrandomhardwarefailure…………………………3.6.5reasonablyforeseeablemisuse